CrowdStrike Blog:CrowdScoreで組織のアラート疲れが劇的に減少 | ScanNetSecurity
2024.03.19(火)

CrowdStrike Blog:CrowdScoreで組織のアラート疲れが劇的に減少

CrowdScoreと新しいIncident Workbenchは、クラウドストライクのEDR製品であるFalcon Insightのすべてのユーザーが利用できます。このアーリーアダプター、初期採用者が実際に体験している素晴らしい成果の一部をご紹介しましょう。

国際 海外情報
CrowdStrike Blog:CrowdScoreで組織のアラート疲れが劇的に減少
CrowdStrike Blog:CrowdScoreで組織のアラート疲れが劇的に減少 全 5 枚 拡大写真
 組織は、さまざまな脅威によって次々と引き起こされるアラートに、優先順位付け、把握、対応を素早く行わなければならないという大きな課題に直面しています。この仕事量が多すぎるセキュリティチームを、CrowdStrikeのCrowdScoreTM という極めて強力な新機能がサポート、負けるわけにいかない攻撃者グループとの戦いを大幅にスピードアップできます。

 先日ブログに投稿したとおり、セキュリティチームにとっては「ノイズ」が大きな問題となっており、重度のアラート疲れを引き起こして攻撃を見逃す結果となっています。CrowdScoreはインシデントを効果的に評価して優先順位を付ける高度な技術を導入して、このような重要な問題を解決すると同時に、組織を標的とする攻撃をリアルタイムにセキュリティ担当の経営幹部にわかりやすい図で表示します。

 CrowdScoreと新しいIncident Workbenchは、クラウドストライクのEDR製品であるFalcon Insightのすべてのユーザーが利用できます。この画期的な新機能を一部のお客様は早々に利用されています。このアーリーアダプター、初期採用者が実際に体験している素晴らしい成果の一部をご紹介しましょう。まずは、CrowdScoreがアラート疲れの問題の解決にどのように役立っているかを見ていきます。

インシデントをインテリジェントに優先順位付けしてアラート疲れを解消

 あらゆる業種において組織はアラート疲れに苦しんでおり、そのような状況では次々と押し寄せる潜在的脅威のシグナルが雑音に埋もれてしまいます。セキュリティチームが山のような個々のアラートをつなぎ合わせて全貌を明らかにしようとして、重要なアラートを見逃し、貴重な人材の時間を浪費するということが頻繁に起きています。

 CrowdScoreはクラウドベースの高度な分析を使用して、一見共通点のないセキュリティアラートとインジケータをインシデントにまとめ上げます。個々のアラートではなくインシデント全体にフォーカスすることで、組織は分析担当者が注目しなければならないアイテム数を大幅に削減できます。

 また、CrowdScoreのスマートな優先順位付けエンジンは、CrowdStrike Threat Graphから得られる詳細なコンテキストを利用して、最も深刻な脅威を優先的に分析担当者に提示するので、トリアージプロセスを合理化することができます。

図1:アラートからインテリジェントに優先順位付けしまとめあげられたインシデント
図1:アラートからインテリジェントに優先順位付けしまとめあげられたインシデント

 生産性の向上とそれに伴うアラート疲れの軽減を測定する一つの方法は、セキュリティチームが対処しなければならない、待ち行列にある作業量を調べることです。 アラートではなくインシデントに焦点を絞ったトリアージと調査にシフトするお客様は、生産性が著しく向上することに気付くでしょう。1日あたり100件以上のセキュリティアラートを目にしているFalconプラットフォームの平均的なヘビーユーザーを考えてみましょう。CrowdScoreのアーリーアダプターと新しいインシデントベースのワークフローを見てみると、このカテゴリの平均的組織では、アラート数とインシデント数を比較した場合、作業待ち行列の量が98%減少しています。

図2:インシデントを基にしたワークフローへの移行によるセキュリティアナリストの作業軽減状況
図2:インシデントを基にしたワークフローへの移行によるセキュリティアナリストの作業軽減状況

 セキュリティチームの過剰な負担を軽減することに伴うプラスの効果は明白ですが、それだけには留まりません。

優先順位付けとコンテキストが調査をスピードアップ

 調査のスピードはもう一つの重要な指標です。CrowdStrike2019年版グローバルセキュリティ意識調査によると、脅威の検知、トリアージ、調査、および封じ込めのプロセスにかかる時間は組織平均で162時間、つまりほぼ丸7日間です。攻撃が最初の侵入から数分のうちに水平展開(ラテラルムーブメント)に移ることを踏まえると、これは明らかに時間がかかりすぎです。

 組織が攻撃者グループの先を行くためには、攻撃に対する調査と対応に要する時間を短縮することが不可欠です。CrowdScoreは、組織が新しいIncident Workbenchを使用してこの目標を達成するのに役立ちます。

図3:Incident Workbenchを使用した調査時間の短縮
図3:Incident Workbenchを使用した調査時間の短縮

 Incident Workbenchは、アナリストが方向を定めて脅威に対処するために必要な幅広い情報をまとめます。インシデントに関連するアラートをまとめて表示するだけでなく、Threat Graphから得られる詳細なコンテキストでアラートの情報を補強して、脅威の全体像を見せます。時間が経つにつれて攻撃がどのように進化したかを示す動的なタイムラインを含め、攻撃の要素間の関係を表示します。

 ほとんどの組織で数時間以上かかるデータ収集をIncident Workbenchが自動化して、組織が1-10-60ルールに取り組む上で、測定可能な進展を遂げられるようにします。

全体像を把握する

 CrowdScoreはさらに、ノイズを排除し、組織が自組織に対する脅威レベルを継続的に正しく把握できるようにします。これは組織の「DEFCON (Defense Readiness Condition)デフコン」スコアが提供され、リアルタイムで更新され、組織が攻撃を受けているかどうか、また脅威の重大度はどれくらいかをセキュリティ担当のリーダーが容易に素早く把握できる仕組みであり、組織は即座に対応に取り掛かることができるようになります。

図4:CrowdScoreが現在の脅威レベルをリアルタイムで表示
図4:CrowdScoreが現在の脅威レベルをリアルタイムで表示

 この可視化は経営幹部レベルの可視化として、日常のレポート作成やワークストリームに取り入れられています。ある大手衣料小売業者のセキュリティ運用ディレクターは次のように述べています。「CrowdScoreが単一のわかりやすい指標を提供してくれるため、それを使用して現在の自組織における脅威の重大度を上層部のリーダーに明確に伝えることができます。当社のCIRC(サイバーインシデント対応センター)マネージャがこれを利用して毎日脅威レベルを報告するため、総力を挙げて対処しなければならない状況であるのかを組織の全員が理解できます。CrowdScoreによってコンテキストの中で脅威を捉えられるため、当社のリーダーは即座に全体像を把握できるのです」

その他のリソース

CrowdScoreの詳細に関するウェビナーをご覧ください。
・ CrowdScoreの詳細に関するブログ
o Introducing CrowdScore
o Noise Is the Problem - CrowdScore Is the Solution
o Is Measurable Security Possible?

*原文はCrowdStrike Blog サイト掲載: https://www.crowdstrike.com/blog/crowdscore-dramatically-reduces-alert-fatigue/

《Brian Trombley (CrowdStrike)》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. テレビ新潟放送網にサイバー攻撃、データが暗号化被害

    テレビ新潟放送網にサイバー攻撃、データが暗号化被害

  2. サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演

    サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演

  3. 善意目的でスパム46万通、慈善団体が当局からお目玉

    善意目的でスパム46万通、慈善団体が当局からお目玉

  4. マルウェアが OpenAI の認証情報窃取、約 68 万 8,000 件をダークウェブ等で発見

    マルウェアが OpenAI の認証情報窃取、約 68 万 8,000 件をダークウェブ等で発見

  5. 理研計器の開発センターで放射性同位元素が所在不明に

    理研計器の開発センターで放射性同位元素が所在不明に

  6. 経済産業省 サイバーセキュリティ課 職員を名乗る自動音声電話に注意を呼びかけ

    経済産業省 サイバーセキュリティ課 職員を名乗る自動音声電話に注意を呼びかけ

  7. 愛知陸運にランサムウェア攻撃、不審な電話やメールに注意呼びかけ

    愛知陸運にランサムウェア攻撃、不審な電話やメールに注意呼びかけ

  8. NRIセキュア「企業における情報セキュリティ実態調査 2023」公表、日本の生成 AI 導入済企業 18.0%

    NRIセキュア「企業における情報セキュリティ実態調査 2023」公表、日本の生成 AI 導入済企業 18.0%

  9. 経済産業省「攻撃技術情報の取扱い・活用手引き」と「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文」を策定

    経済産業省「攻撃技術情報の取扱い・活用手引き」と「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文」を策定

  10. NEC、陸自「多国間サイバー防護競技会(Cyber KONGO 2024)」を支援

    NEC、陸自「多国間サイバー防護競技会(Cyber KONGO 2024)」を支援

ランキングをもっと見る